2023年首席網絡安全官(CISO)應該優先開展的10項重點工作
數據泄露、勒索軟件攻擊以及新冠疫情帶來的嚴峻挑戰,使企業管理層不斷提升對網絡安全的重視度,并開始就風險暴露和管理方法提出了更高要求。網絡安全建設不再只是企業經營的一項成本,而是未來數字化轉型發展的基礎。因此,CISO和安全團隊需要認真思考如何順應這種不斷變化的發展趨勢。
為了幫助企業CISO更加高效地開展2023年度網絡安全規劃和建設工作,網絡安全專家們給出了以下重點工作建議。
1. “提前做好勒索軟件攻擊的準備”
——Jobber安全主管Brian Masson
2023年,企業組織會看到更多的勒索軟件攻擊,因此安全主管們需要提前做好準備。身份和訪問管理(IAM)一直是企業網絡安全建設的薄弱環節。糟糕的密碼實踐、缺失多因素身份驗證(MFA)等諸多不完善的網絡安全防護狀況在很長時間內難以在企業中得到根本性改變。同時,我們還會看到有政府背景的攻擊正在造成越來越大的影響。在此形勢下,企業組織應該盡快加強關鍵基礎設施的安全防護,提前發現勒索軟件攻擊可能對組織數字化業務發展帶來的影響,并通過開展安全演練等活動做好應對勒索攻擊的準備。
2. “利用EDR技術重建端點安全”
——NTT DATA安全服務副總裁Sushila Nair
勒索軟件攻擊是企業數字化業務安全的主要威脅,并會愈演愈烈。而勒索病毒的初始感染途徑大多是通過端點,因此組織需要加強端點安全建設,以減小攻擊面。2023年,組織應該重視使用復雜的端點檢測和響應(EDR)來重建端點的安全防護能力。此外,企業組織應該更注重結合MFA保護的單點登錄,并更慎重地使用免費版SaaS應用程序或無法與單點登錄集成的應用系統。
3. “讓企業安全協同建設更廣泛”
——Devo CISO Kayla Williams
如今企業對誰是網絡安全工作的責任人存在諸多誤解。CISO及安全團隊所制定的安全戰略,如果得不到企業管理層和各個業務部門的支持,就無法有效的落地實施。因此,要保障數字化轉型的安全開展,企業每個部門都應該參與并配合實施安全團隊的安全建議和防護控制措施。企業數字化發展中之所以存在大量的安全漏洞,主要原因在于安全團隊的規劃與具體實施之間存在脫節。在2023年,各企業應該努力去解決好這個問題,讓各部門更重視網絡安全工作,并且和IT部門、安全運營團隊更好地協同配合。
4. “向零信任架構轉型將更加重要”
——Veeam首席技術官Danny Allan
2023年企業網絡安全建設的根本性任務就是要通過各種有效的方式應對新型網絡攻擊威脅,作為一種驗證訪問和提高安全性的手段,零信任架構會越來越重要,并會得到更多的項目預算。不過,企業向零信任架構轉型需要慎重規劃,現有系統和零信任環境需要時間磨合才能共存。目前零信任技術仍在快速成長,持續了解零信任技術和解決方案的發展對于長期保護投資很重要。
5. “讓網絡安全建設實踐更加透明”
——Object First產品營銷副總裁Tony Liau
消費者已經越來越意識到數據隱私保護的重要性,因此在2023年,企業與客戶互動和溝通的方式將會有所改變。組織需要在與消費者的信息傳達方面加強透明度,而不是企圖淡化或隱瞞安全事件。企業需要及時承認問題,并透露安全事件的更多細節,這樣可以表明自己在采取什么措施來緩解問題,并防止重蹈覆轍。客戶會欣賞這種坦誠的做法,并更加信任在網絡安全實踐方面做到開放透明的企業。
6. “生成式AI被更加廣泛的采用”
——Info-Tech Research Group首席研究員Fritz Jean-Louis
2023年,業務運營部門需要更加了解網絡安全威脅環境,并招聘經驗豐富的網絡專家。這將使CISO能夠在持續發展的數字化轉型時代跟上競爭對手的步伐。生成式AI技術會在新一代安全工具中得到更廣泛的應用。這種技術基于卷積神經網絡,有助于檢測關鍵性的網絡異常、風險和模式。隨著軟件供應鏈攻擊越來越致力于利用零日漏洞,企業現在有必要實現數字化業務發展中的持續安全運營。
7. “將安全策略即代碼納入到建設實踐中”
——Veeam產品和合作伙伴關系副總裁Gaurav Rishi
隨著容器化的應用系統開發模式成為主流,新型網絡攻擊途徑和強度也會隨之發生變化。這將導致Kubernetes原生數據保護工具變得更加重要,確保系統數據安全仍然是最后一道防線。企業不僅應該重視系統本身的使用安全和基礎代碼庫保護,還應該加強系統使用中的身份管理和數據應用加密。在DevSecOps環境下,企業要盡快地將安全策略即代碼整合到流程中,以落實額外的保護層,并確保安全實踐在各種異構環境下能夠統一實施。
8. “通過增強網絡彈性來降低風險”
——Perfecto by Perforce首席市場官Eran Kinsbruner
移動設備在現代化辦公中已經觸手可及,其中存儲有大量個人敏感數據,很容易成為惡意攻擊的目標。企業在2023年須高度重視網絡安全彈性和降低潛在風險的戰略。為此,團隊可以引入“安全左移”的防護方法,在應用的開發階段識別安全漏洞和風險代碼。當然,最理想的狀態是在整個應用系統全生命周期中持續敏捷地整合測試參數和檢查點,而不是僅僅局限于“安全左移”。因此,有條件的安全團隊應該將安全分析能力引入到CI/CD管道,包括靜態代碼和動態分析活動,以及利用功能測試和模擬服務來進行驗證。
9. “加強物聯網應用的合規”
——比特梵德物聯網安全主管Dan Berte
物聯網漏洞將繼續存在,并在2023年會繼續困擾企業的物聯網應用。一個重要原因就是,物聯網方案商對安全研究人員披露的漏洞和補丁反應緩慢。隨著《歐盟網絡彈性法案》等新法規的頒布,預計會改善這方面的情況,這些法規會對物聯網產品的銷售和應用提出強制性的網絡安全要求,并明確處罰的措施和要求。盡管相關法案的最終生效還需要幾年的時間,但是企業應該對此提前進行準備。
10.“不斷加強企業員工的安全培訓”
——Menlo Security網絡安全戰略高級主管Mark Guntrip
目前,還沒有跡象表明網絡犯罪分子會減慢發起攻擊的步伐。因此在2023年的網絡安全威脅形勢下,沒有一家組織的信息化應用系統是絕對安全的,而人是安全領域最薄弱的環節。研究數據顯示,無視組織安全建議的員工是企業安全決策管理者最為擔心的薄弱因素。隨著網絡攻擊者變得越來越狡猾,我們不斷看到可以規避典型安全架構的新技術層出不窮,比如高度規避性自適應威脅(HEAT)攻擊等。只有全面提升每個員工的安全意識和責任心,才能盡可能減少企業被惡意攻擊的次數。
